網頁內容被篡改，如何找到是在哪個位置被篡改的，如何找到這個惡意程序？

問題描述：
目標網站首頁頁面內容被篡改，跳轉到一導航網站（相關網址最後貼出），然後從導航網站跳轉到目標網站首頁。
問題發現：
開始時候我都沒注意過地址欄中參數的變化，訪問「www.jd.com」也正常，直到前兩天，訪問」www.jd.com「總是跳轉到京東的錯誤頁面，才發現這個問題。
簡單測試了幾個網站，京東，一號店首頁被篡改，淘寶、天貓沒有，其他沒測
測試情況說明（以京東為例）：
1.瀏覽器（chrome、IE、Edeg）發起請求，內容被篡改
2.用java的HttpURLConnection和Socket分別發起請求，內容被篡改
3.cmd中 telnet 京東IP 80，然後GET / HTTP/1.1 HOST: 「www.jd.com」, 內容正常
4.設置同事電腦為代理，內容正常，同事設置我電腦為代理，同事內容被篡改
5.修改dns不影響以上4點
6.電腦連接手機4G熱點，內容被篡改
相關圖片：
內容正常情況

內容被篡改

被篡改後跳轉的相關網址：
http://gclick.duapp.com/igo.php?m=jda=30
http://www.91nav.com
http://c.duomai.com/.....等

請教各路大神，這個內容在何時 何處 被用什麼方式篡改？
如何找到這個惡意程序？
用殺毒軟體好像也沒查殺到異常文件（但是我更傾向於電腦是中毒了）

---

其實有個比netstat好用的辦法就是windows 7+自帶一個叫做資源監視器的東西，可以看到所有聯網的進程名和四元組/監聽埠

除非有rootkit，否則你應該可以看到異常的情況的。

---

初步判斷是成了殭屍網路的一份子。

怎麼不看一下當前正在運行的進程，應該是有一個進程劫持了所有80 8080 埠的流量。netstat -abn看一下是哪個可疑程序開了可以埠

firefox試過沒有，firefox是不受ie代理影響的，最好先看一下系統設置裡面的代理有沒有值不值。

————————————————————

題主這麼久都不看一下回答我也是醉了，這是你本地開了一個木馬程序專門監聽http請求，也就是做了你的http代理，它想怎麼改內容都行， 這也是為什麼你換了代理就沒事了， 不要整那些虛的，wireshark追蹤流量，，，不要逗我

---

可以接入創宇盾，有一個功能是：溯源

---

有可能是路由器的dns被篡改了。檢查一下改回來。
注意把路由器默認管理賬號密碼(admin)修改一下。

---

如果沒中毒檢查DNS，檢查host
還是掃一遍吧應該是中招了

---

遇到了同樣的問題，暫時排除了DNS，hosts的問題，就是不知道自己電腦哪裡中了招，同求解答

• 跳轉路徑：

http://gclick.duapp.com/jd/Lw==.html


http://track.weiyi.com/sr.aspx?m=360buyw=A200926254d=0000u=t=http%3A%2F%2Fwww.jd.com%2F


• 跳轉以後的網址：

京東：

http://www.jd.com/index.html?cu=trueutm_source=hao.wabudian.comutm_medium=tuiguang


亞馬遜：

http://www.amazon.cn/?_encoding=UTF8camp=536creative=3200linkCode=ur2tag=juzhefang-23


噹噹：

http://www.dangdang.com/index.html?_ddclickunion=P-314017|ad_type=10|sys_id=1#dd_refer=http%3A%2F%2Fwww.91nav.com


2015年9月30日更新：

重裝了一遍系統以後問題依然，最後發現是激活軟體KMSPico的問題。

---

推薦閱讀：